米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書
こんにちは、丸山満彦です。
バイデン大統領は、国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書に署名をしましたね。。。
● White House
Memorandum on Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems | 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書 |
NATIONAL SECURITY MEMORANDUM/NSM-8 | 国家安全保障メ覚書/NSM-8 |
MEMORANDUM FOR THE VICE PRESIDENT | 副大統領のための覚書 |
THE SECRETARY OF STATE | 国務長官 |
THE SECRETARY OF THE TREASURY | 財務長官 |
THE SECRETARY OF DEFENSE | 国防長官 |
THE ATTORNEY GENERAL | 司法長官 |
THE SECRETARY OF COMMERCE | 商務長官 |
THE SECRETARY OF ENERGY | エネルギー庁長官 |
THE SECRETARY OF HOMELAND SECURITY | 国土安全保障省長官 |
THE DIRECTOR OF THE OFFICE OF MANAGEMENT AND BUDGET | 管理・予算局長官 |
THE DIRECTOR OF NATIONAL INTELLIGENCE | 国家情報長官 |
THE DIRECTOR OF THE CENTRAL INTELLIGENCE AGENCY | 中央情報局長官 |
THE ASSISTANT TO THE PRESIDENT FOR NATIONAL SECURITY AFFAIRS | 大統領補佐官(国家安全保障問題担当 |
THE COUNSEL TO THE PRESIDENT | 大統領顧問 |
THE ASSISTANT TO THE PRESIDENT AND HOMELAND SECURITY ADVISOR AND DEPUTY NATIONAL SECURITY ADVISOR | 大統領補佐兼国土安全保障担当顧問および国家安全保障担当副顧問 |
THE NATIONAL CYBER DIRECTOR | 国家サイバー長官 |
THE DIRECTOR OF THE NATIONAL SECURITY AGENCY | 国家安全保障局長官 |
THE DIRECTOR OF THE FEDERAL BUREAU OF INVESTIGATION | 連邦捜査局長官 |
THE DIRECTOR OF THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY | サイバーセキュリティ・インフラセキュリティ庁長官 |
THE CHIEF INFORMATION OFFICER OF THE INTELLIGENCE COMMUNITY | 情報コミュニティの最高情報責任者 |
SUBJECT: Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems | 件名:国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティの改善 |
This memorandum sets forth requirements for National Security Systems (NSS) that are equivalent to or exceed the cybersecurity requirements for Federal Information Systems set forth within Executive Order 14028 of May 12, 2021 (Improving the Nation’s Cybersecurity), and establishes methods to secure exceptions for circumstances necessitated by unique mission needs. Executive Order 14028 establishes that the Federal Government must improve its efforts to identify, deter, protect against, detect, and respond to malicious cyber campaigns and their actors through bold changes and significant investments in cybersecurity. This memorandum establishes and clarifies additional authority and responsibilities of the Director of the National Security Agency (NSA) in connection with the National Manager responsibilities for NSS assigned to the Director of the NSA by National Security Directive 42 of July 5, 1990 (National Policy for the Security of National Security Telecommunications and Information Systems) (NSD-42), Executive Order 12333 of December 4, 1981, as amended (United States Intelligence Activities), and Executive Order 14028. | 本覚書は、国家安全保障システム(NSS)について、2021年5月12日付の大統領令14028(国家のサイバーセキュリティ向上)で定められた連邦情報システムのサイバーセキュリティ要件と同等以上の要件を定め、固有のミッションニーズによって必要とされる状況のために例外を確保する方法を確立するものである。 大統領令14028は、連邦政府が、サイバーセキュリティへの大胆な変化と多額の投資を通じて、悪意のあるサイバーキャンペーンとその行為者の特定、抑止、防御、検知、対応の取り組みを改善しなければならないことを定めている。 本覚書は、1990年7月5日付の国家安全保障指令42(国家安全保障通信情報システムのセキュリティのための国家政策)(NSD-42)、1981年12月4日付の大統領令12333の改正(米国の諜報活動)、および大統領令14028によってNSA長官に割り当てられたNSSの国家管理者責任に関連して、国家安全保障局(NSA)長官の追加権限と責任を確立し、明確にするものである。 |
Consistent with Executive Order 14028, NSS shall include those systems defined as NSS in 44 U.S.C. 3552(b)(6) as well as all other Department of Defense and Intelligence Community systems, as described in 44 U.S.C. 3553(e)(2) and 3553(e)(3). | 大統領令 14028 に従い、NSS には、44 U.S.C. 3552(b)(6)で NSS と定義されているシステムのほか、44 U.S.C. 3553(e)(2)および 3553(e)(3)に記載されているその他すべての国防総省および情報コミュニティのシステムが含まれるものとする。 |
Section 1. Implementation of Executive Order 14028 for National Security Systems. | 第1条 国家安全保障システムに対する大統領令14028の実施 |
(a) Sections 1 and 2 of Executive Order 14028 shall apply in their entirety to NSS, except that the authorities exercised by the Director of the Office of Management and Budget and the Secretary of Homeland Security in section 2 shall be exercised by the National Manager with respect to NSS. | (a) 大統領令14028の第1条と第2条は、第2条で行政管理予算局長官と国土安全保障長官が行使した権限を、NSSに関しては国家管理者が行使することを除き、NSSに全面的に適用されるものとする。 |
(b) Consistent with section 3 of Executive Order 14028: | (b) 大統領令14028の第3条に準拠している。 |
(i) Within 90 days of the date of this memorandum, the Committee on National Security Systems (CNSS) shall develop and publish guidance, in addition to CNSS Instruction (CNSSI) 1253, regarding minimum security standards and controls related to cloud migration and operations for NSS, taking into account migration steps that the National Institute of Standards and Technology (NIST) within the Department of Commerce has outlined in standards and guidance. | (i) 本覚書の日付から90日以内に、国家安全保障システム委員会(CNSS)は、CNSS命令(CNSSI)1253に加えて、商務省内の国立標準技術研究所(NIST)が基準やガイダンスで概説している移行手順を考慮して、NSSのクラウド移行と運用に関連する最低限のセキュリティ基準と管理に関するガイダンスを策定し、公表する。 |
(ii) Within 60 days of the date of this memorandum, the head of each executive department or agency (agency) that owns or operates an NSS shall, consistent with its statutory authority: | (ii)この覚書の日付から60日以内に、NSSを所有または運用する各行政省庁(機関)の長は、その法的権限に沿って、以下のことを行わなければならない。 |
(A) update existing agency plans to prioritize resources for the adoption and use of cloud technology, including adoption of Zero Trust Architecture as practicable; | (A) ゼロトラストアーキテクチャの採用を含め、クラウド技術の採用と使用のためのリソースを優先するために、既存の省庁計画を更新する。 |
(B) develop a plan to implement Zero Trust Architecture, which shall incorporate, as appropriate: | (B)ゼロトラストアーキテクチャを実施するための計画を策定し、必要に応じてこれを取り入れる。 |
(1) NIST Special Publication 800-207 Guidance (Zero Trust Architecture); | (1) NIST SP 800-207 ゼロトラストアーキテクチャ ガイダンス |
(2) CNSS instructions on Zero Trust Reference Architectures; and | (2) ゼロトラスト・リファレンス・アーキテクチャーに関するCNSSの指示 |
(3) Other relevant CNSS instructions, directives, and policies regarding enterprise architectures, insider threats, and access management; and | (3) エンタープライズ・アーキテクチャ、インサイダー脅威、アクセス管理に関する、その他の関連するCNSSの指示、指令、政策 |
(C) provide a report to the CNSS and National Manager discussing the plans required pursuant to section 1(b)(ii)(A) and (B) of this memorandum. | (C) 本覚書の第1条(b)(ii)(A)および(B)に従って要求される計画について、CNSSおよび国家管理者に報告書を提出する。 |
(iii) Within 180 days of the date of this memorandum, agencies shall implement multifactor authentication and encryption for NSS data-at-rest and data-in-transit. In those instances where the head of an agency determines the agency is unable to implement these measures, the head of the agency shall authorize an exception pursuant to the process provided in section 3 of this memorandum. | (iii) 本覚書の日付から180日以内に、各省庁は、NSSのデータの保存先と転送中のデータに対して、多要素認証と暗号化を実施しなければならない。 省庁の長がこれらの手段を実施できないと判断した場合には、省庁の長は本覚書の第3条に規定されたプロセスに従って例外を承認するものとする。 |
(iv) To ensure widespread cryptographic interoperability among NSS, all agencies shall use NSA‑approved, public standards-based cryptographic protocols. If mission-unique requirements preclude the use of public standards-based cryptographic protocols, NSA-approved mission unique protocols may be used. An agency shall not authorize new systems to operate that do not use approved encryption algorithms and implementations, absent an exception authorized by the head of an agency pursuant to section 3 of this memorandum. | (iv) NSS間の広範な暗号の相互運用性を確保するために、すべての省庁はNSAが承認した公的標準に基づく暗号プロトコルを使用するものとする。 ミッション固有の要件により、公的な標準ベースの暗号プロトコルの使用が不可能な場合は、NSA承認のミッション固有のプロトコルを使用することができる。 省庁は、この覚書の第3条省庁に従って省庁の長が承認した例外がない限り、承認された暗号アルゴリズムと実装を使用しない新しいシステムの運用を許可してはならない。 |
(A) Within 30 days of the date of this memorandum, the NSA shall review CNSS Policy 15 and provide to CNSS any updates or modifications regarding the approved list of commercial national security algorithms (CNSA). | (A) 本覚書の日付から30日以内に、NSAはCNSSポリシー15をレビューし、商業国家安全保障アルゴリズム(CNSA)の承認リストに関する更新または修正をCNSSに提供する。 |
(B) Within 60 days of the date of this memorandum, the NSA shall revise and make available to Chief Information Officers the CNSS Advisory Memorandum 01-07 (Information Assurance Cryptographic Equipment Modernization) and any associated enclosures and relevant references regarding modernization planning, use of unsupported encryption, approved mission unique protocols, quantum resistant protocols, and planning for use of quantum resistant cryptography where necessary. | (B) 本覚書の日付から60日以内に、NSAは、CNSS アドバイザリー・メモランダム 01-07(情報保証用暗号機器の近代化)と、近代化計画、サポートされていない暗号の使用、承認されたミッション固有のプロトコル、耐量子性プロトコル、および必要に応じて耐量子性暗号の使用計画に関する関連する同封物および関連文献を改訂し、最高情報責任者が利用できるようにする。 |
(C) Within 90 days of the date of this memorandum, CNSS shall identify and prioritize for update all cryptographic-related policies, directives, and issuances, and CNSS shall provide to the Secretary of Defense, the Director of National Intelligence, and the National Manager a timeline, not to exceed 6 months, for the re-issuance of these policies, as appropriate. | (C)本覚書の日付から90日以内に、CNSSは、すべての暗号関連の政策、指令、発行物を特定し、更新の優先順位をつけなければならず、CNSSは、必要に応じて、これらの政策の再発行のための6か月を超えないスケジュールを、国防長官、国家情報長官、および国家管理者に提供しなければならない。 |
(D) Within 180 days of the date of this memorandum, agencies shall identify any instances of encryption not in compliance with NSA-approved Quantum Resistant Algorithms or CNSA, where appropriate in accordance with section 1(b)(iv)(A) and (B) of this memorandum, and shall report to the National Manager, at a classification level not to exceed TOP SECRET//SI//NOFORN: | (D) 本覚書の日付から180日以内に、各省庁は、本覚書の第1条(b)(iv)(A)(B)に従って適切な場合には、NSAが承認した耐量子アルゴリズムまたはCNSAに準拠していない暗号化の事例を特定し、TOP SECRET//SI//NOFORNを超えない分類レベルで、国家管理者に報告しなければならない。 |
(1) systems where non-compliant encryption is being used, to include those operating under an existing waiver or exception; | (1) 非準拠の暗号化が使用されているシステム(既存の免除または例外の下で運用されているものを含む)。 |
(2) a timeline to transition these systems to use compliant encryption, to include quantum resistant encryption; and | (2)これらのシステムを、耐量子暗号を含む準拠した暗号化に移行するためのスケジュール。 |
(3) any exception from transition to compliant encryption, pursuant to section 3 of this memorandum, which shall additionally be reviewed by the National Manager and reported quarterly to the Secretary of Defense and the Director of National Intelligence for the systems within their respective jurisdictions. The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined. | (3) 本覚書の第3条に基づく、準拠した暗号化への移行に関する例外措置。この例外措置は、さらに国家管理者によって検討され、それぞれの管轄区域内のシステムについて、四半期ごとに国防長官と国家情報長官に報告される。 国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、共有リスクが共同で決定された場合、他の関連省庁を含めることができる。 |
(v) Within 90 days of the date of this memorandum, the National Manager shall, in coordination with the Director of National Intelligence, the Director of the Central Intelligence Agency, the Director of the Federal Bureau of Investigation, and the heads of appropriate elements of the Department of Defense, develop a framework to coordinate and collaborate on cybersecurity and incident response activities related to NSS commercial cloud technologies that ensures effective information sharing among agencies, the National Manager, and Cloud Service Providers (CSP). | (v) 本覚書の日付から90日以内に、国家管理者は、国家情報長官、中央情報局長官、連邦捜査局長官、国防総省の適切な部門の長と連携して、省庁、国家管理者、クラウドサービスプロバイダー(CSP)間での効果的な情報共有を保証する、NSS商用クラウド技術に関連するサイバーセキュリティおよびインシデント対応活動を調整・協力する枠組みを策定するものとする。 |
(A) The National Manager, in coordination with the Secretary of Homeland Security, shall ensure that, as provided in the framework, there is a Federal unity of effort and collaboration between the Secretary of Homeland Security and the National Manager on commercial CSP-cybersecurity and incident management, consistent with each agency’s responsibilities for Federal Civilian Executive Branch (FCEB) and NSS cybersecurity, and to ensure rapid and thorough end-to-end risk mitigation across CSP environments. | (A) 国家管理者は、国土安全保障長官と連携して、フレームワークに規定されているように、国土安全保障長官と国家管理者との間で、商業CSPのサイバーセキュリティ及びインシデント管理について、連邦政府文民執行部(FCEB)及びNSSのサイバーセキュリティに対する各省庁の責任に沿った連邦の統一的な取り組み及び協力体制を確保し、CSP環境全体の迅速かつ徹底したエンド・ツー・エンドのリスク軽減を図るものとする。 |
(B) The National Manager shall ensure that the final version of the framework is coordinated with the Director of National Intelligence, the Director of the Central Intelligence Agency, the Director of the Federal Bureau of Investigation, and the heads of appropriate elements of the Department of Defense. | (B) 国家管理者は、フレームワークの最終版が、国家情報長官、中央情報局長官、連邦捜査局長官、国防総省の適切な部門の責任者と調整されることを確認する。 |
(c) Consistent with section 4 of Executive Order 14028: | (c) 大統領令 14028の第4条に準拠する。 |
(i) Except as otherwise authorized by law, or by an exception authorized by the heads of agencies pursuant to section 3 of this memorandum, agencies shall adhere to the standards developed under section 4 of Executive Order 14028 for any software intended to be used on NSS for which this category of software is applicable. | (i) 法律で別途認められている場合や、本覚書の第3条に基づいて各省庁の長が認めた例外を除き、各省庁は、NSSで使用することを目的としたソフトウェアのうち、このカテゴリーのソフトウェアが適用されるものについては、大統領令14028の第4条に基づいて策定された基準を遵守しなければならない。 |
(ii) Within 60 days of the date of this memorandum, the National Manager shall, in coordination with the Secretary of Defense and the Director of National Intelligence, review the guidance issued by the Office of Management and Budget pursuant to section 4(i) of Executive Order 14028 and shall issue similar guidance. | (ii) 本覚書の日付から60日以内に、国家管理者は、国防長官および国家情報長官と連携して、行政管理予算局が大統領令14028条第4条(i)に基づいて発行した指針を検討し、同様の指針を発行するものとする。 |
(iii) Agencies may request from the National Manager an extension to the time period associated with satisfaction of the applicable requirements issued in section 1(c)(ii) of this memorandum, which will be considered by the National Manager on a case-by-case basis and only with an accompanying plan for satisfying requirements. The National Manager shall provide a quarterly report to the Secretary of Defense and the Director of National Intelligence of all extensions granted for the systems within their respective jurisdictions and the justifications for doing so. The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined. | (iii) 各省庁は、本覚書の第1条(c)(ii)に記載された該当する要件の充足に関連する期間の延長を、ナショナル・マネージャーに要求することができる。この場合、ナショナル・マネージャーはケースバイケースで検討し、要件を充足するための計画が付随している場合にのみ対応する。 国家管理者は、国防長官および国家情報長官に対し、それぞれの管轄区域内のシステムに認められたすべての延長と、その正当な理由について、四半期ごとに報告を行う。 国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、リスクの共有が共同で決定された場合、他の関連省庁を含めることができる。 |
(d) Section 6 of Executive Order 14028 shall apply to NSS owners and operators, utilizing the National Manager to review and validate agencies’ incident response and remediation results upon an agency’s completion of its incident response pursuant to section 6(f) of Executive Order 14028. | (d) 大統領令第 14028 条第6条は、NSS の所有者及び運営者に適用され、大統領令第 14028 条第6条 (f) に基づいて省庁がインシデント対応を完了した際に、国家管理者を活用して、省庁のインシデント対応及び修復の結果を確認し、検証する。 |
(e) Section 7 of Executive Order 14028 shall apply to NSS owners and operators where specifically referenced within the Executive Order, with additional requirements as described in section 2(b) of this memorandum. | (e) 大統領令 14028 の第7条は、大統領令の中で特に言及されている場合、NSS の所有者と運用者に 適用され、本覚書の第2条(b)に記載されている追加要件が適用される。 |
(f) Within 14 days of the date of this memorandum the National Manager, in coordination with the Secretary of Defense and the Director of National Intelligence, shall provide to the CNSS recommendations as described in section 8(b) of Executive Order 14028. | (f) 本覚書の日付から14日以内に、国家管理者は、国防長官及び国家情報長官と連携して、大統領令14028 第8条 (b) に記載されている提言をCNSSに提供する。 |
(i) Within 90 days of receipt of the recommendations issued pursuant to section 1(f) of this memorandum, the CNSS shall formulate policies for agencies to establish such requirements, which shall ensure centralized access and visibility for the highest level of security operations center of each agency. | (i) 本覚書の第1条 (f) に基づいて出された提言を受け取ってから90日以内に、CNSSは、各省庁の最高レベルのセキュリティ・オペレーション・センターの集中的なアクセスと可視性を確保するために、各省庁がそのような要件を確立するための方針を策定する。 |
(ii) To assist in the response to known or suspected compromise of an NSS, recommendations issued pursuant to section 1(f) of this memorandum shall include requirements that agencies will allow access, upon request, to logs by specified named individuals, or based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee. | (ii) NSSの既知または疑わしい侵害への対応を支援するために、この覚書の第1条 (f) に従って発行された勧告には、国家管理者と省庁の長または被指名人との間で合意されたように、省庁が要求に応じて、特定の指名された個人による、または特定のNSAサイバー防衛ミッションの役割に基づいて、ログへのアクセスを許可するという要件を含めるものとする。 |
Sec. 2. National Manager Authorities Relating to National Security Systems. | 第2条. 国家安全保障システムに関連する国家管理者の権限。 |
(a) Designation and Identification of National Security Systems. | (a) 国家安全保障システムの指定及び識別。 |
(i) The National Manager shall facilitate the designation of NSS across the Federal Government. Each agency shall remain responsible for identification, designation, accreditation, and protection of all NSS under its ownership or control, including those NSS operated and/or maintained on behalf of the agency. The National Manager may, on a periodic basis, request access to NSS information regarding the designation and identification of such systems from agencies operating NSS. | (i) 国家管理者は、連邦政府全体でNSSの指定を促進する。 各省庁は、その所有または管理下にあるすべてのNSS(その省庁に代わって運用および/または維持されているNSSを含む)の識別、指定、認定、および保護について、引き続き責任を負うものとする。 国家管理者は、定期的に、NSSを運用する省庁に対して、当該システムの指定および識別に関するNSS情報へのアクセスを要求することができる。 |
(ii) Within 30 days of the date of this memorandum, the National Manager shall develop a process for assisting agencies with identifying and inventorying those information systems that do or should likely constitute NSS, and shall issue guidance to support agencies in making these determinations to agency Chief Information Officers. NSS shall be inventoried at a level of detail sufficient to understand community-wide cybersecurity risk, as determined by the National Manager, and such information may not exceed a classification level of TOP SECRET//SI//NOFORN. | (ii) 本覚書の日付から30日以内に、国家管理者は、NSSを構成している、または構成する可能性が高い情報システムを特定し、目録を作成することについて、省庁を支援するためのプロセスを開発し、省庁の最高情報責任者にこれらの決定を支援するためのガイダンスを発行しなければならない。 NSSは、国家管理者が決定するように、コミュニティ全体のサイバーセキュリティリスクを理解するのに十分な詳細レベルでインベントリ化されなければならず、そのような情報は、TOP SECRET//SI//NOFORNの分類レベルを超えてはならない。 |
(iii) Within 90 days of the date of this memorandum, agencies shall identify and maintain an inventory of those systems designated as NSS through the process designated in section 2(a)(ii) of this memorandum. Agencies shall retain their own inventory subject to access by specified named individuals, or based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee. | (iii) 本覚書の日付から90日以内に、各省庁は、本覚書の第2条(a)(ii)で指定されたプロセスを通じて、NSSとして指定されたシステムのインベントリーを特定し、維持するものとする。 各省庁は、国家管理者と省庁の長または被指名人との間で合意されたとおり、特定の指名された個人によるアクセスを条件として、または特定のNSAサイバー防衛ミッションの役割に基づいて、独自のインベントリを保持するものとする。 |
(iv) If the National Manager has concerns regarding the determination as to whether a system constitutes an NSS, the National Manager shall engage the head of the relevant agency in order to resolve the designation. If the National Manager and the head of the agency are unable to achieve a mutually acceptable resolution, the National Manager may request that the head of the agency report the disagreement to the Secretary of Defense and the Director of National Intelligence for further consideration for systems within their respective jurisdictions. The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined. | (iv) 国家管理者が、システムがNSSを構成するかどうかの判断に関して懸念を持つ場合、国家管理者は、指定を解決するために関連省庁の長に関与するものとする。 国家管理者と関連省庁の長が、相互に受け入れ可能な解決策を達成できない場合、国家管理者は、関連省庁の長が、それぞれの管轄内のシステムについてさらなる検討を行うために、意見の相違を国防長官および国家情報長官に報告するよう要請することができる。 国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、共有リスクが共同で決定された場合、他の関連省庁を含めることができる。 |
(v) Once a system has been identified and designated as an NSS, notification to the National Manager and to the Secretary of Defense and the Director of National Intelligence, for systems within their respective jurisdictions, will be required to re-designate those systems as non-NSS. The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined. | (v) システムがNSSとして特定・指定された後、それらのシステムを非NSSとして再指定するためには、国家管理者への通知、並びにそれぞれの管轄区域内のシステムについては国防長官及び国家情報長官への通知が必要となる。 国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、リスクの共有が共同で決定された場合、他の関連省庁を含めることができる。 |
(b) Incident Reporting. | (b) インシデント報告 |
(i) To facilitate threat detection and response, as well as an overall understanding of the cybersecurity status of NSS, an agency shall, upon agency detection, or upon report by a contractor (including an information and communications technology service provider) or other Federal or non-Federal entity, of a known or suspected compromise or otherwise unauthorized access to NSS, report such compromise or unauthorized access to the National Manager through the appropriate Federal Cyber Center or other designated central department point of contact. Agencies shall also provide relevant information to the National Manager pursuant to the policies developed in accordance with section 1(f) of this memorandum. | (i) 脅威の検知および対応、ならびにNSSのサイバーセキュリティ状況の全体的な理解を促進するために、省庁は、省庁が検知した場合、または請負業者(情報通信技術サービス・プロバイダーを含む)もしくはその他の連邦または非連邦組織から、NSSへの既知または疑いのある侵害またはその他の不正アクセスの報告を受けた場合、適切な連邦サイバーセンターまたはその他の指定された中央部門の連絡先を通じて、当該侵害または不正アクセスを国家管理者に報告するものとする。 また、各省庁は、本覚書の第1条(f)に従って策定されたポリシーに従って、国家管理者に関連情報を提供するものとする。 |
(ii) Agencies shall, upon detection or report to the agency, also report to the National Manager, through their appropriate Federal Cyber Center or other designated central department point of contact, any compromise or unauthorized access of a network hosting a Cross Domain Solution (CDS) when one side of the CDS connects to NSS operated by or on behalf of the agency. | (ii) 省庁は、CDSの片側が省庁によってまたは省庁を代表して運用されるNSSに接続する際に、クロスドメインソリューション(CDS)をホストするネットワークの危殆化または不正アクセスがあった場合、発見または省庁への報告時に、適切な連邦サイバーセンターまたは他の指定された中央部門の連絡先を通じて、国家管理者にも報告するものとする。 |
(iii) Within 90 days of the date of this memorandum, the National Manager, in coordination with the Director of National Intelligence and the Director of the Central Intelligence Agency, shall establish procedures for reporting known or suspected compromises of NSS or otherwise unauthorized access of NSS, which shall include: | (iii) 本覚書の日付から90日以内に、国家管理者は、国家情報長官および中央情報局長官と連携して、既知または疑わしいNSSの危殆化、またはその他のNSSへの不正アクセスを報告するための手順を確立するものとし、これには以下が含まれる。 |
(A) thresholds, required information, and other criteria; | (A) 閾値、必要な情報、およびその他の基準 |
(B) emergency procedures if an imminent threat to NSS is detected; | (B) NSSに対する差し迫った脅威が検出された場合の緊急手順 |
(C) timeliness expectations regarding initiation of response activities by the affected agency; | (C) 影響を受ける省庁による対応活動の開始に関する期待される適時性 |
(D) threat and compromise reporting mechanisms between the National Manager and affected agencies; | (D)国家管理者と影響を受ける省庁との間の脅威及び妥協の報告メカニズム |
(E) expectations of the National Manager’s protection and handling of any information received pursuant to this section, to include any considerations regarding the protection of intelligence sources and methods and the conduct of counterintelligence investigations; | (E) 情報源および方法の保護、防諜調査の実施に関する考慮事項を含む、本項に従って受領した情報の国家管理者による保護および取り扱いに関する期待 |
(F) expectations for advising the Secretary of Defense and the Director of National Intelligence for systems within their respective jurisdictions of instances where agencies have failed to report a known or suspected compromise of NSS; and | (F)国防長官と、それぞれの管轄区域内のシステムの国家情報長官に、各省庁がNSSの既知または疑わしい侵害の報告を怠った事例を知らせるための期待事項 |
(G) procedures for the National Manager, in coordination with and only after engaging the system owner, to include other relevant agencies if a shared risk is jointly determined. | (G)国家管理者が、システム所有者と連携し、またシステム所有者に関与した後にのみ、リスクが共有されていると共同で判断した場合に、他の関連省庁を含めるための手順 |
(iv) The recipients of any reporting required by this section may be limited to specified named individuals or, based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee. In exceptional cases where the head of the agency deems it advisable to limit reporting in order to protect intelligence sources and methods, counterintelligence investigations, or law enforcement sensitive information, the reporting may be retained by the agency subject to the National Manager access described in section 2(a)(iii) of this memorandum. | (iv) 本条で要求される報告の受領者は、特定の指名された個人に限定されるか、NSAのサイバー防衛ミッションの特定の役割に基づいて、国家管理者と省庁の長または被指名人との間で合意されたものとすることができる。 省庁の長が、情報源と方法、防諜調査、または法執行機関の機密情報を保護するために、報告を制限することが望ましいと考える例外的なケースでは、本覚書の第2条(a)(iii)に記載されている国家管理者のアクセス権に従い、報告を省庁が保持することができる。 |
(c) National Manager Directives. | (c) 国家管理者の指示 |
(i) Emergency Directives. In response to a known or reasonably suspected information security threat, vulnerability, or incident that represents a substantial threat to the information security of NSS, or intelligence of adversary capability and intent to target NSS, the National Manager may issue a National Manager Emergency Directive to the head of an agency, through that agency’s Chief Information Officer, Chief Information Security Officer, or officer designated by the head of the agency, to take any lawful action with respect to the operation of that NSS, as defined in this memorandum, including such systems used or operated by another entity on behalf of an agency, for the purpose of protecting the NSS from, or mitigating, the threat, vulnerability, or risk. | (i) 緊急指令。 NSSの情報セキュリティに対する実質的な脅威となる、既知または合理的に疑われる情報セキュリティ上の脅威、脆弱性、または事件、またはNSSを標的とする敵対者の能力と意図に関する情報に対応して、国家管理者は、省庁の最高情報責任者を通じて、省庁の長に国家管理者緊急指令を発行することができる。脅威、脆弱性、またはリスクからNSSを保護する、または軽減する目的で、この覚書で定義されているNSS(他の事業体が省庁に代わって使用または運用しているシステムを含む)の運用に関して、合法的な行動をとるよう、省庁の長に国家管理者緊急指令を発行することができる。 |
(ii) Binding Operational Directives. For the purposes of safeguarding NSS from a known or reasonably suspected information security threat, vulnerability, or risk, the National Manager may, in coordination with the Secretary of Defense and the Director of National Intelligence, for the systems within their respective jurisdictions, issue a National Manager Binding Operational Directive to the head of an agency, through that agency’s Chief Information Officer, Chief Information Security Officer, or officer designated by the head of the agency, to take any lawful action with respect to the operation of that NSS, as defined in this memorandum, including such systems used or operated by another entity on behalf of an agency, for the purpose of protecting the NSS from, or mitigating, the threat, vulnerability, or risk. Additionally, the National Manager may issue, on a periodic or ad hoc basis, requests to the head of an agency, through that agency’s Chief Information Officer, Chief Information Security Officer, or officer designated by the head of the agency, for information suitable for reporting the overall cybersecurity posture of that agency’s NSS. | (ii) 拘束力のある運用指示書。 既知または合理的に疑われる情報セキュリティ上の脅威、脆弱性、またはリスクからNSSを保護する目的で、国家管理者は、国防長官および国家情報長官と連携して、それぞれの管轄区域内のシステムについて、国家管理者拘束力のある業務指令を各省庁の長に発行することができる。その省庁の最高情報責任者、最高情報セキュリティ責任者、またはその省庁の長が指定した役員を通じて、脅威、脆弱性、またはリスクからNSSを保護する、または軽減する目的で、この覚書で定義されているNSS(他の省庁が当該省庁に代わって使用または運用しているシステムを含む)の運用に関して、あらゆる合法的な行動をとることができる。 さらに、国家管理者は、定期的又は臨時に、省庁の最高情報責任者、最高情報セキュリティ責任者、又は省庁の長が指名する責任者を通じて、省庁の長に対し、当該省庁のNSSの全体的なサイバーセキュリティの態勢を報告するのに適した情報の提供を求めることができる。 |
(iii) Implementing Procedures. Within 30 days of the date of this memorandum, the National Manager, in coordination with the Secretary of Defense and the Director of National Intelligence, shall establish procedures governing the circumstances under which a directive may be issued under this subsection, which shall include: | (iii) 手続きの実施。 本覚書の日付から30日以内に、国家管理者は、国防長官および国家情報長官と連携して、本款に基づいて指令を発することができる状況を規定する手順を確立しなければならないが、これには以下が含まれる。 |
(A) thresholds and other criteria; | (A) 閾値およびその他の基準 |
(B) provision of notice to potentially affected third parties; | (B) 潜在的に影響を受ける第三者への通知の提供 |
(C) reasons for the required action and the duration of the directive; | (C) 必要とされる行動の理由と指令の期間 |
(D) privacy and civil liberties protections; | (D) プライバシーと市民的自由の保護 |
(E) adoption of measures to secure the NSS that have a minimal impact on operations under the circumstances; and | (E)状況に応じて運用への影響を最小限に抑えたNSSのセキュリティ対策を採用すること |
(F) limiting directives to the shortest period practicable. | (F) 指令を実行可能な最短期間に限定すること |
(iv) Notification and Assistance. The National Manager shall notify, in writing, the head of any affected agency, the Secretary of Defense, the Secretary of Homeland Security, and the Director of National Intelligence immediately upon the issuance of an Emergency Directive or Binding Operational Directive, and shall provide technical and operational assistance to the implementing agency. | (iv) 通知と支援。 国家管理者は、緊急指令または拘束力のある運用指令が発行された場合、直ちに、影響を受ける省庁の長、国防長官、国土安全保障長官、国家情報長官に書面で通知し、実施省庁に技術的・運用的な支援を提供する。 |
(v) Coordination and Alignment of Directives. To ensure alignment between National Manager directives for NSS and FCEB information systems directives, the National Manager and the Secretary of Homeland Security, in coordination with the Secretary of Defense and the Director of National Intelligence, shall: | (v) 指令の調整と整合性。 NSSの国家管理者指令とFCEBの情報システム指令の整合性を確保するために、国家管理者と国土安全保障長官は、国防長官および国家情報長官と連携して、以下を行うものとする。 |
(A) within 60 days of the date of this memorandum, establish procedures for the National Manager and the Secretary of Homeland Security to immediately share with each other National Manager Binding Operational Directives and Emergency Directives, and Department of Homeland Security Emergency Directives and Binding Operational Directives, applying to the information networks within their respective jurisdictions. The procedures shall adequately address applicable information-sharing guidelines, including protections for classified information, protection of intelligence sources and methods, and protection of information originated by other agencies; | (A) 本覚書の日付から60日以内に、国家管理者と国土安全保障長官が、それぞれの管轄内の情報ネットワークに適用される国家管理者の拘束力のある運用指令と緊急指令、および国土安全保障省の緊急指令と拘束力のある運用指令を相互に直ちに共有するための手順を確立する。 この手順は、機密情報の保護、情報源と方法の保護、他の省庁から発信された情報の保護など、適用される情報共有のガイドラインに適切に対応するものでなければならない。 |
(B) evaluate whether to adopt any requirements or guidance contained in a directive received pursuant to the procedures established under section 2(c)(v)(A) of this memorandum, consistent with law, Executive Orders, Federal regulations, and directives concerning the sharing of classified information; and | (B) 機密情報の共有に関する法律、大統領令、連邦規則、および指令との整合性を保ちつつ、本覚書第2条 (c)(v)(A)に基づいて確立された手順に従って受領した指令に含まれる要件または指針を採用するかどうかを評価する。 |
(C) within 7 days of receiving notice of a directive issued pursuant to the procedures established under section 2(c)(v)(A) of this memorandum, notify the Assistant to the President for National Security Affairs (APNSA) or their designee of the evaluation described in section 2(c)(v)(B) of this memorandum, the determination of whether to adopt the requirements or guidance contained in the directive received, the rationale for that determination, and a timeline for adoption of the requirements or guidance, if applicable. | (C) 本覚書の第2条 (c)(v)(A)に基づいて制定された手順に従って発行された指令の通知を受け取ってから7日以内に、国家安全保障問題担当大統領補佐官(APNSA)またはその被指名人に、本覚書の第2条 (c)(v)(B)に記載された評価、受け取った指令に含まれる要件または指針を採用するかどうかの決定、その決定の根拠、および要件または指針の採用のスケジュール(該当する場合)を通知する。 |
(d) Cross Domain Solutions. | (d) クロスドメインソリューション (CDS) |
(i) As CDS separate and enable controlled exchange of information between different security domains, they are vital NSS that require centralized visibility. | (i) CDS は、異なるセキュリティ・ドメイン間の情報交換を分離し、制御可能にするものであり、集中的な可視性を必要とする重要な NSS である。 |
(ii) In operating the National Cross Domain Strategy and Management Office (NCDSMO), the National Manager shall be the focal point for NSS cross domain capabilities and mission needs, and shall: | (ii) 国家クロスドメイン戦略管理局(NCDSMO) を運営するにあたり、国家管理者は、NSSのクロスドメイン能力とミッションニーズの中心となり、以下のことを行うものとする。 |
(A) serve as the principal advisor to NSS owners for cross domain capabilities; | (A) クロスドメイン能力に関するNSS所有者の主要アドバイザーとしての役割を果たす。 |
(B) develop and maintain community outreach programs and forums; | (B) 地域社会への働きかけプログラムとフォーラムを開発し、維持する。 |
(C) develop and establish improved security solutions, remote management and monitoring, cyber defense, filtering requirements, and standards and technologies for CDS; and | (C) 改良されたセキュリティ・ソリューション、遠隔管理・監視、サイバー・ディフェンス、フィルタリング要件、CDSの標準・技術を開発・確立すること。 |
(D) operate the cross domain security testing program to ensure uniform comprehensive testing. | (D) クロスドメインセキュリティテストプログラムを運営し、均一で包括的なテストを実施する。 |
(iii) Within 60 days of the date of this memorandum, the National Manager, in coordination with the Chief Information Officer of the Intelligence Community, shall issue a directive to all agencies operating a CDS connected to NSS to make available information regarding those deployments and shall establish timelines for the collection and receipt of this information, requiring that agencies shall: | (iii) 本覚書の日付から60日以内に、国家管理者は、情報コミュニティの最高情報責任者と連携して、NSSに接続されたCDSを運用しているすべての省庁に対し、それらの配備に関する情報を公開するよう指示を出し、この情報の収集と受領のためのタイムラインを設定し、省庁が以下を行うことを要求するものとする。 |
(A) verify that logs from CDS, supporting systems, and connected systems are collected and archived by agencies, sufficient to support investigation and incident response activities, as well as ensuring the logs are intact and machine-readable, and making access to that information available to the National Manager consistent with section 2(b) of this memorandum; | (A) 調査およびインシデント対応活動を支援するのに十分な、CDS、サポートシステム、接続システムからのログが省庁によって収集され、アーカイブされていることを検証するとともに、ログが無傷で機械読み取り可能であることを確認し、本覚書の第2条(b)に準拠して、その情報へのアクセスを国家管理者に提供すること。 |
(B) validate that the latest authorized patches have been installed for deployed CDS; | (B) 配備されたCDSに最新の認可されたパッチがインストールされていることを検証する。 |
(C) report on the status of upgrading to the Raise-the-Bar (RTB) compliant version of their CDS; and | (C) CDSのRTB(Rise-the-Bar)準拠バージョンへのアップグレード状況を報告する。 |
(D) update or develop plans of actions and milestones for all CDS installations to comply with NCDSMO CDS security requirements and provide these plans to the National Manager, to include identified funding barriers which may prevent RTB compliance. | (D) NCDSMOのCDSセキュリティ要件に準拠するために、全てのCDSの設置に関する行動計画及びマイルストーンを更新又は作成し、RTB準拠を妨げる可能性のある特定の資金的障害を含めて、これらの計画を国家管理者に提供する。 |
(iv) Within 90 days of the date of this memorandum, the heads of relevant agencies shall establish and maintain CDS deployment inventory for all CDS deployments within their jurisdiction, subject to access by specified named individuals, or based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee. In coordination with the Secretary of Defense and the Director of National Intelligence, the National Manager shall define essential elements of information required to maintain an accurate inventory not to exceed a classification level of TOP SECRET//SI//NOFORN, shall define initial and ongoing agency reporting expectations, and shall provide a process to CDS owners for reporting and updating as required. | (iv) 本覚書の日付から90日以内に、関連省庁の長は、国家管理者と省庁の長または被指名人との間で合意されたように、特定の指名された個人によるアクセスの対象となる、または特定のNSAサイバー防衛ミッションの役割に基づく、その管轄内のすべてのCDS配備のためのCDS配備目録を確立し、維持する。 国防長官および国家情報長官と連携して、国家管理者は、TOP SECRET//SI//NOFORNの分類レベルを超えない範囲で正確なインベントリを維持するために必要な情報の必須要素を定義し、初期および継続的な省庁の報告の期待を定義し、CDS所有者に必要な報告および更新のプロセスを提供する。 |
Sec. 3. Exceptions. | 第3条 例外 |
(a) Whenever the head of an agency determines that unique mission needs necessitate any NSS or category of NSS to be excepted from any provisions of Executive Order 14028 or this memorandum, the head of the agency may authorize such exceptions, provided that such exceptions may only be authorized with respect to: | (a) 特有の任務上の必要性から、NSS または NSS のカテゴリーを大統領令14028 または本覚書の規定から除外する必要があると省庁の長が判断した場合、省庁の長はかかる例外を許可することができる。 |
(i) systems that facilitate the support or conduct of military, intelligence, or sensitive law enforcement activities where the head of the agency determines that implementation of these requirements is not practicable or is contrary to national security; | (i) 軍事、諜報、または機密性の高い法執行活動の支援または実施を促進するシステムで、これらの要件の実施が現実的ではない、または国家安全保障に反すると省庁の長が判断するもの |
(ii) systems for which attribution to the United States Government is obscured and for which this attribution would be reasonably endangered due to implementation of these requirements; or | (ii) 米国政府への帰属が不明瞭なシステムで、本要件の実施により帰属が合理的に危うくなるもの |
(iii) information systems or software procured for vulnerability research, testing, or evaluation purposes that are not intended for use in agency operational networks. | (iii) 脆弱性の研究、テスト、または評価を目的として調達された情報システムまたはソフトウェアで、省庁の運用ネットワークでの使用を意図していないもの |
(b) If the head of an agency elects to authorize an exception under section 3(a) of this memorandum, the head of the agency shall notify the National Manager and shall provide: | (b) 省庁の長が本覚書の第3条(a)に基づく例外を承認することを選択した場合、省庁の長は国家管理者に通知し、以下を提供しなければならない。 |
(i) a general description as to the function of the system or systems at issue; | (i) 問題となっているシステムの機能についての一般的な説明 |
(ii) the reasoning for accepting the enhanced cybersecurity risk resulting from the exception; | (ii) 例外の結果として生じるサイバーセキュリティ・リスクの強化を受け入れる理由 |
(iii) a description of the likely mission impact, and agency response, were this NSS to be compromised; and | (iii) このNSSが侵害された場合に想定されるミッションへの影響と省庁の対応についての記述 |
(iv) attestation that all practicable means of risk mitigation have been, or will be, implemented. | (iv) リスクを軽減するためのすべての実用的な手段が実施された、または実施される予定であることの証明 |
(c) In order to ensure that the National Manager maintains awareness of additional cybersecurity risk across NSS, the National Manager, in coordination with the Secretary of Defense and the Director of National Intelligence, shall, within 30 days of the date of this memorandum: | (c) 国家管理者がNSS全体の追加的なサイバーセキュリティリスクに対する認識を維持するために、国家管理者は、国防長官および国家情報長官と連携して、本覚書の日付から30日以内に、以下を行うものとする。 |
(i) publish an exception provision process to include: reporting timeline expectations; formats; allowance for categories of systems that may be grouped together within a single exception; and other required elements of information, to include those elements described in section 3(b) of this memorandum. Exceptions shall be sufficiently detailed to establish and maintain an appropriate level of community-wide risk awareness and appropriately abridged to protect sensitive intelligence sources or methods, and classification shall not exceed TOP SECRET//SI//NOFORN; and | (i) 以下を含む例外規定プロセスを公表する。報告のタイムラインの期待値、フォーマット、1つの例外にまとめられるシステムのカテゴリーの許容範囲、および本覚書の第3条(b)に記載されている要素を含むその他の必要な情報の要素。 例外は、コミュニティ全体の適切なレベルのリスク認識を確立・維持するために十分に詳細でなければならず、また、機密性の高い情報源や手法を保護するために適切に簡略化されていなければならず、分類はTOP SECRET//SI//NOFORNを超えてはならない。 |
(ii) coordinate with agencies to establish an authoritative repository for each agency to maintain a consolidated inventory of all exceptions that agency has authorized, subject to access by specified named individuals or based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee. | (ii) 国家管理者と省庁の長または被指名人との間で合意されたとおり、特定の指名された個人によるアクセスを条件として、または特定のNSAサイバー防衛ミッションの役割に基づいて、各省庁が承認したすべての例外の統合インベントリーを維持するために、各省庁のための信頼できるリポジトリを確立するために、各省庁と調整する。 |
(d) Chief Information Officers of agencies shall retain internal records regarding system exceptions sufficiently detailed to perform effective and timely identification and mitigation of any cybersecurity issues that may impact these systems. | (d) 省庁の最高情報責任者は、これらのシステムに影響を与える可能性のあるサイバーセキュリティの問題を効果的かつタイムリーに特定及び緩和するために、十分に詳細なシステム例外に関する内部記録を保持しなければならない。 |
(e) If the National Manager and the head of an agency cannot agree on the sufficiency of exception rationale, description of impacts, response, sufficiency of mitigations, or overall acceptance of increased risk, the National Manager shall request that the head of the agency report the disparity to the Secretary of Defense and the Director of National Intelligence for further consideration with respect to systems within their respective jurisdictions. The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined. | (e) 国家管理者と省庁の長が、例外の根拠、影響の説明、対応、緩和策の十分性、またはリスク増加の全体的な受け入れについて合意できない場合、国家管理者は、省庁の長が国防長官と国家情報長官にその不一致を報告し、それぞれの管轄内のシステムに関してさらなる検討を行うよう要請する。 国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、リスクの共有が共同で決定された場合、他の関連省庁を含めることができる。 |
Sec. 4. Summary of NSS Policy Creation or Adjustment Actions. | 第4条 NSS ポリシーの作成または調整アクションの概要 |
Within 90 days of the date of this memorandum, the CNSS, in consultation with the National Manager, shall review this memorandum and deliver to the APNSA a summary of NSS policy creation or adjustment actions and their timeline for implementation. This summary will include any additional items not previously directed within this memorandum to the National Manager or agencies. | 本覚書の日付から90日以内に、CNSSは国家管理者と協議の上、本覚書を検討し、NSS政策の作成または調整行為の概要およびその実施時期をAPNSAに提出する。 この要約には、本覚書の中で以前に国家管理者または各省庁に指示されていない追加項目が含まれる。 |
Sec. 5. General Provisions. | 第5条 一般規定 |
(a) This memorandum is intended to supplement NSD-42. | (a)本覚書は、NSD-42を補完することを目的とする。 |
(b) Nothing in this memorandum shall be construed to alter or supersede: | (b) 本覚書のいかなる部分も、以下を変更または優先すると解釈してはならない。 |
(i) the authority granted by law to an executive department or agency, or the head thereof, to include the protection of intelligence sources and methods; or | (i) 情報源と情報方法の保護を含む、行政省庁またはその長に法律で認められた権限 |
(ii) the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals. | (ii) 予算案、行政案、立法案に関連する行政管理予算局長官の機能 |
(c) Nothing in this memorandum confers the authority to interfere with or to direct a counterintelligence, personnel, criminal, or national security investigation, arrest, search, seizure, or disruption operation or to alter a legal restriction that requires an agency to protect information learned in the course of a counterintelligence, personnel, criminal, or national security investigation. | (c) 本覚書のいかなる内容も、防諜、人事、刑事、国家安全保障に関する調査、逮捕、捜索、押収、破壊活動を妨害したり、指示したりする権限や、防諜、人事、刑事、国家安全保障に関する調査の過程で知り得た情報を保護することを省庁に要求する法的制限を変更する権限を付与するものではない。 |
(d) This memorandum shall be implemented in a manner consistent with applicable law and shall be subject to the availability of appropriations. No implementation measures shall impede the conduct or support of intelligence activities, and all such implementation measures shall be designed to protect intelligence sources and methods. | (d)本覚書は、適用される法律に沿った方法で実施されるものとし、予算の有無に応じて実施されるものとする。 いかなる実施策も、情報活動の実施または支援を妨げてはならず、そのような実施策はすべて、情報源と方法を保護するように設計されなければならない。 |
(e) This memorandum is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. | (e) 本覚書は、米国、その省庁、省庁、事業体、その役員、従業員、代理人、またはその他の者に対して、法律上または衡平法上で執行可能な、実体的または手続き上のいかなる権利または利益も創出することを意図したものではなく、またそうするものでもない。 |
JOSEPH R. BIDEN JR. | ジョセフ・R・バイデン・Jr. |
報道
● Air Force Magazine
・2022.01.20 White House’s Cyber Plan ‘Raises the Bar’ for Securing DOD Computer Systems
● Security Boulevard
・2022.01.21 Biden Signs Authority for NSS to NSA: Think CISA for Military, Intel Systems
● まるちゃんの情報セキュリティ気まぐれ日記
大統領令14028の記事
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
大統領令14028関連の記事
・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表
・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集
・2021.11.02 MITRE 連邦政府のサイバーセキュリティを向上させるための議会への8つの提言
・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)
・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル
・2021.09.09 米国 CISA 意見募集 政府機関のクラウドへの移行を支援する
・2021.08.26 米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。
・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...
・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...
・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。
Comments